CyberArk 密码保管库Control Room 集成时使用可选保险箱,通过支持基于角色的凭据隔离,实现了自动登录工作流中凭据管理的逻辑隔离。

您可以在您的 Control Room 中集成 CyberArk 密码保管库,以安全地存储和检索在自动登录工作流中使用的凭据。 此集成允许管理员配置一个默认保险箱,并另外配置最多 25 个可选保险箱以支持基于角色的凭据隔离。

如果未配置可选保险箱Control Room 将使用默认的配置保险箱来检索自动登录所需的凭据。

可选保险箱如何工作?

可选保险箱是一个额外的 CyberArk 保险箱,可以在 Control Room 中进行配置,以支持基于角色的凭据隔离。 可以配置多个可选保险箱,并且每个可选保险箱都映射到一个或多个 Control Room 角色(CR 角色),例如 Bot Developer、AAE_Basic 或任何其他用户自定义角色。

当自动登录工作流使用 机器人运行程序 用户时,Control Room 决定要查询哪个 CyberArk 保险箱,以获取用于自动登录工作流的凭据。 保险箱根据在可选保险箱中配置的角色映射,从已配置的可选保险箱列表中进行选择。 从选定保险箱中检索的值用于自动登录工作流。

Control Room 中配置了多个可选保险箱时,Control Room 使用以下流程从 CyberArk 检索凭据。 从保险箱中检索到的凭据用于自动登录工作流。

  1. Control Room 检查 机器人运行程序 用户是否属于可选保险箱中配置的任何 Control Room 角色:
    • Control Room 中分配给单个可选保险箱机器人运行程序 用户角色: 分配给角色的可选保险箱已选中。 当自动登录工作流使用此 机器人运行程序 用户时,分配给该角色的保险库将用于从 CyberArk 检索自动登录凭据。
    • 机器人运行程序 用户被分配到 Control Room 中的多个可选保险箱
      1. 第一个包含用户角色的可选保险箱(按照可选保险箱的配置顺序)已选中。
      2. Control Room 找到分配给该用户角色的第一个可选保险箱后,即使同一用户角色可能属于与其他保险箱匹配的多个映射,它也会停止评估任何其他可选保险箱。
    • 机器人运行程序 用户未被分配到 Control Room 中的任何可选保险箱: 默认保险箱已选中。
  2. 在上一步选择的保险箱以及 机器人运行程序 用户名将用于向 CyberArk 查询凭据。

使用可选保险箱时的注意事项

  • 您可以选择使用可选保险箱: 如果您未配置任何可选保险箱,系统将使用默认保险箱。
  • 仅选择一个可选保险箱: 当 机器人运行程序 用户被分配到 Control Room 中的多个可选保险箱时,Control Room 只会选择第一个包含该用户角色的可选保险箱(按照可选保险箱的配置顺序),以执行自动登录工作流。 Control Room 不会在其他可选保险箱中检查用户角色。
  • 可选保险箱的配置顺序很重要: 可选保险箱的评估按照其配置的顺序进行。 请查看此订单以符合您的要求。
  • 避免用户角色映射重叠: 为每个可选保险箱分配唯一角色。 如果同一个角色被映射到多个保险箱,则只会使用第一个匹配的保险箱,这可能导致凭据解析错误。
  • 仅适用于自动登录工作流: 可选保险箱仅用于自动登录工作流。